Hướng dẫn chuyên sâu của CISO về các cuộc tấn công chuỗi cung ứng AI

Các cuộc tấn công chuỗi cung ứng được hỗ trợ bởi AI đã tăng 156% vào năm ngoái. Hãy khám phá lý do tại sao các biện pháp phòng thủ truyền thống đang thất bại và những gì các CISO phải làm ngay bây giờ để bảo vệ tổ chức của họ.

Tải xuống hướng dẫn chuyên sâu của CISO về các cuộc tấn công chuỗi cung ứng AI tại đây.

TL;DR

• Các cuộc tấn công chuỗi cung ứng được hỗ trợ bởi AI đang bùng nổ về quy mô và độ tinh vi - Số lượt tải lên các gói độc hại lên kho lưu trữ mã nguồn mở đã tăng 156% trong năm qua.
• Mã độc do AI tạo ra có những đặc điểm thay đổi cuộc chơi - Nó đa hình (polymorphic) theo mặc định, nhận biết ngữ cảnh (context-aware), ngụy trang ngữ nghĩa (semantically camouflaged) và lẩn tránh theo thời gian (temporally evasive).
• Các cuộc tấn công thực tế đã và đang xảy ra - Từ vụ vi phạm 3CX ảnh hưởng đến 600.000 công ty đến các cuộc tấn công NullBulge vũ khí hóa các kho lưu trữ Hugging Face và GitHub.
• Thời gian phát hiện đã tăng lên đáng kể - Báo cáo năm 2025 của IBM cho thấy các vụ vi phạm mất trung bình 276 ngày để xác định, với các cuộc tấn công có sự hỗ trợ của AI có khả năng kéo dài khung thời gian này.
• Các công cụ bảo mật truyền thống đang gặp khó khăn - Phân tích tĩnh (static analysis) và phát hiện dựa trên chữ ký (signature-based detection) thất bại trước các mối đe dọa chủ động thích nghi.
• Các chiến lược phòng thủ mới đang nổi lên - Các tổ chức đang triển khai bảo mật nhận biết AI để cải thiện khả năng phát hiện mối đe dọa.
• Tuân thủ quy định đang trở thành bắt buộc - Đạo luật AI của EU áp đặt các hình phạt lên tới 35 triệu EUR hoặc 7% doanh thu toàn cầu đối với các vi phạm nghiêm trọng.
• Hành động ngay lập tức là rất quan trọng - Đây không phải là về việc chống lại tương lai mà là về việc chống lại hiện tại.

Sự phát triển từ các cuộc tấn công truyền thống đến xâm nhập dựa trên AI

Bạn có nhớ khi các cuộc tấn công chuỗi cung ứng chỉ có nghĩa là thông tin đăng nhập bị đánh cắp và các bản cập nhật bị giả mạo không? Đó là những thời điểm đơn giản hơn. Thực tế ngày nay thú vị hơn nhiều và phức tạp vô cùng.

Chuỗi cung ứng phần mềm đã trở thành tâm điểm cho một loại hình tấn công mới. Hãy nghĩ theo cách này: nếu mã độc truyền thống là một tên trộm bẻ khóa của bạn, thì mã độc được hỗ trợ bởi AI là một kẻ biến hình nghiên cứu thói quen của nhân viên bảo vệ, tìm hiểu các điểm mù của họ và biến thành nhân viên dọn dẹp.

Lấy ví dụ về sự cố PyTorch. Những kẻ tấn công đã tải lên một gói độc hại có tên torchtriton lên PyPI, giả mạo là một dependency hợp pháp. Trong vòng vài giờ, nó đã xâm nhập vào hàng nghìn hệ thống, đánh cắp dữ liệu nhạy cảm từ các môi trường máy học. Điều đáng nói là đây vẫn là một cuộc tấn công "truyền thống".

Tiến nhanh đến ngày nay, chúng ta đang thấy một điều khác biệt cơ bản. Hãy xem ba ví dụ gần đây sau đây –

1. Nhóm NullBulge - Các cuộc tấn công vào Hugging Face & GitHub (2024)

Một tác nhân đe dọa có tên NullBulge đã thực hiện các cuộc tấn công chuỗi cung ứng bằng cách vũ khí hóa mã trong các kho lưu trữ mã nguồn mở trên Hugging Face và GitHub, nhắm mục tiêu vào các công cụ AI và phần mềm trò chơi. Nhóm này đã xâm nhập tiện ích mở rộng ComfyUI_LLMVISION trên GitHub và phân phối mã độc hại thông qua nhiều nền tảng AI khác nhau, sử dụng các payload dựa trên Python để đánh cắp dữ liệu qua Discord webhooks và cung cấp ransomware LockBit tùy chỉnh.

2. Cuộc tấn công vào thư viện Solana Web3.js (Tháng 12 năm 2024)

Vào ngày 2 tháng 12 năm 2024, những kẻ tấn công đã xâm phạm một tài khoản có quyền publish cho thư viện npm @solana/web3.js thông qua một chiến dịch phishing. Chúng đã xuất bản các phiên bản độc hại 1.95.6 và 1.95.7 chứa mã backdoor để đánh cắp khóa riêng và rút ví tiền điện tử, dẫn đến việc đánh cắp khoảng 160.000–190.000 USD giá trị tài sản tiền điện tử trong khung thời gian năm giờ.

3. Các lỗ hổng của Wondershare RepairIt (Tháng 9 năm 2025)

Ứng dụng tăng cường hình ảnh và video được hỗ trợ bởi AI Wondershare RepairIt đã để lộ dữ liệu người dùng nhạy cảm thông qua các thông tin xác thực đám mây được mã hóa cứng trong tệp nhị phân của nó. Điều này cho phép những kẻ tấn công tiềm năng sửa đổi các mô hình AI và các tệp thực thi phần mềm và khởi động các cuộc tấn công chuỗi cung ứng chống lại khách hàng bằng cách thay thế các mô hình AI hợp pháp được ứng dụng tự động truy xuất.

Tải xuống hướng dẫn chuyên sâu của CISO để biết danh sách nhà cung cấp đầy đủ và các bước triển khai.

Mối đe dọa gia tăng: AI thay đổi mọi thứ

Hãy đặt vấn đề này vào thực tế. Cuộc tấn công chuỗi cung ứng 3CX năm 2023 đã xâm phạm phần mềm được 600.000 công ty trên toàn thế giới sử dụng, từ American Express đến Mercedes-Benz. Mặc dù không được xác định rõ ràng là do AI tạo ra, nhưng nó đã thể hiện các đặc điểm đa hình mà chúng ta hiện nay liên kết với các cuộc tấn công có sự hỗ trợ của AI: mỗi payload là duy nhất, khiến việc phát hiện dựa trên chữ ký trở nên vô dụng.

Theo dữ liệu của Sonatype, số lượt tải lên các gói độc hại đã tăng 156% so với năm trước. Đáng lo ngại hơn là đường cong tinh vi. Phân tích gần đây của MITRE về các chiến dịch mã độc PyPI đã tìm thấy các mẫu obfuscation ngày càng phức tạp phù hợp với việc tạo tự động, mặc dù việc gán cho AI một cách rõ ràng vẫn còn thách thức.

Đây là điều làm cho mã độc do AI tạo ra thực sự khác biệt:

• Đa hình (Polymorphic) theo mặc định: Giống như một loại virus tự viết lại DNA của chính nó, mỗi phiên bản có cấu trúc độc đáo trong khi vẫn duy trì cùng một mục đích độc hại.
• Nhận biết ngữ cảnh (Context-aware): Mã độc AI hiện đại bao gồm tính năng phát hiện sandbox mà một lập trình viên đa nghi cũng phải tự hào. Một mẫu gần đây đã chờ cho đến khi nó phát hiện các cuộc gọi Slack API và Git commits, các dấu hiệu của một môi trường phát triển thực sự, trước khi kích hoạt.
• Ngụy trang ngữ nghĩa (Semantically camouflaged): Mã độc không chỉ ẩn mình; nó còn giả mạo chức năng hợp pháp. Chúng ta đã thấy các backdoor được ngụy trang thành các module telemetry, hoàn chỉnh với tài liệu thuyết phục và thậm chí cả các bài kiểm tra đơn vị (unit tests).
• Lẩn tránh theo thời gian (Temporally evasive): Kiên nhẫn là một đức tính, đặc biệt đối với mã độc. Một số biến thể nằm im trong nhiều tuần hoặc nhiều tháng, chờ đợi các trigger cụ thể hoặc đơn giản là tồn tại lâu hơn các cuộc kiểm tra bảo mật.

Tại sao các phương pháp bảo mật truyền thống đang thất bại

Hầu hết các tổ chức đang mang dao đến một cuộc đấu súng, và súng bây giờ được hỗ trợ bởi AI và có thể né đạn.

Hãy xem xét dòng thời gian của một vụ vi phạm điển hình. Báo cáo Chi phí vi phạm dữ liệu năm 2025 của IBM cho thấy các tổ chức mất trung bình 276 ngày để xác định một vụ vi phạm và thêm 73 ngày nữa để ngăn chặn nó. Đó là chín tháng mà những kẻ tấn công sở hữu môi trường của bạn. Với các biến thể do AI tạo ra và đột biến hàng ngày, phần mềm antivirus dựa trên chữ ký của bạn về cơ bản đang chơi trò "đập chuột chũi" trong khi bị bịt mắt.

AI không chỉ tạo ra mã độc tốt hơn, nó còn đang cách mạng hóa toàn bộ vòng đời tấn công:

• Nhân vật nhà phát triển giả mạo (Fake Developer Personas): Các nhà nghiên cứu đã ghi nhận các cuộc tấn công "SockPuppet" trong đó các hồ sơ nhà phát triển do AI tạo ra đã đóng góp mã hợp pháp trong nhiều tháng trước khi tiêm các backdoor. Các nhân vật này có lịch sử GitHub, tham gia Stack Overflow và thậm chí duy trì các blog cá nhân – tất cả đều do AI tạo ra.
• Typosquatting ở quy mô lớn (Typosquatting at Scale): Năm 2024, các nhóm bảo mật đã xác định hàng nghìn gói độc hại nhắm mục tiêu vào các thư viện AI. Các tên như openai-official, chatgpt-api, và tensorfllow (lưu ý chữ 'l' thừa) đã đánh lừa hàng nghìn nhà phát triển.
• Đầu độc dữ liệu (Data Poisoning): Nghiên cứu gần đây của Anthropic đã chứng minh cách những kẻ tấn công có thể xâm phạm các mô hình ML tại thời điểm huấn luyện, chèn các backdoor kích hoạt trên các đầu vào cụ thể. Hãy tưởng tượng AI phát hiện gian lận của bạn đột nhiên bỏ qua các giao dịch từ các tài khoản cụ thể.
• Social Engineering tự động (Automated Social Engineering): Phishing không chỉ dành cho email nữa. Các hệ thống AI đang tạo ra các pull request, comment và thậm chí tài liệu nhận biết ngữ cảnh, xuất hiện hợp pháp hơn nhiều đóng góp chính hãng.

Một khuôn khổ mới cho phòng thủ

Các tổ chức có tư duy tiến bộ đã và đang thích nghi, và kết quả rất hứa hẹn.

Sổ tay phòng thủ mới bao gồm:

• Phát hiện chuyên biệt AI (AI-Specific Detection): Dự án OSS-Fuzz của Google hiện bao gồm phân tích thống kê để xác định các mẫu mã điển hình của việc tạo AI. Kết quả ban đầu cho thấy hứa hẹn trong việc phân biệt mã do AI tạo ra với mã do con người viết – không hoàn hảo, nhưng là tuyến phòng thủ đầu tiên vững chắc.
• Phân tích nguồn gốc hành vi (Behavioral Provenance Analysis): Hãy coi đây như một máy phát hiện nói dối cho mã. Bằng cách theo dõi các mẫu commit, thời gian và phân tích ngôn ngữ của các bình luận và tài liệu, các hệ thống có thể gắn cờ các đóng góp đáng ngờ.
• Lấy độc trị độc (Fighting Fire with Fire): Counterfit của Microsoft và AI Red Team của Google đang sử dụng AI phòng thủ để xác định các mối đe dọa. Các hệ thống này có thể xác định các biến thể mã độc do AI tạo ra mà các công cụ truyền thống không thể.
• Phòng thủ runtime Zero-Trust (Zero-Trust Runtime Defense): Giả sử bạn đã bị vi phạm. Các công ty như Netflix đã tiên phong trong runtime application self-protection (RASP) để ngăn chặn các mối đe dọa ngay cả sau khi chúng thực thi. Nó giống như có một nhân viên bảo vệ bên trong mọi ứng dụng.
• Xác minh con người (Human Verification): Phong trào "bằng chứng con người" đang ngày càng phổ biến. Việc GitHub thúc đẩy GPG-signed commits làm tăng thêm ma sát nhưng nâng cao đáng kể rào cản cho những kẻ tấn công.

Yêu cầu pháp lý bắt buộc

Nếu những thách thức kỹ thuật không thúc đẩy bạn, thì có lẽ sự nghiêm khắc của luật pháp sẽ làm điều đó. Đạo luật AI của EU không phải là chuyện đùa, và những người có khả năng kiện bạn cũng vậy.

Đạo luật này đề cập rõ ràng đến an ninh chuỗi cung ứng AI với các yêu cầu toàn diện, bao gồm:

• Nghĩa vụ minh bạch (Transparency obligations): Ghi lại việc sử dụng AI và các biện pháp kiểm soát chuỗi cung ứng của bạn
• Đánh giá rủi ro (Risk assessments): Đánh giá thường xuyên các mối đe dọa liên quan đến AI
• Tiết lộ sự cố (Incident disclosure): Thông báo trong 72 giờ đối với các vụ vi phạm liên quan đến AI
• Trách nhiệm pháp lý nghiêm ngặt (Strict liability): Bạn phải chịu trách nhiệm ngay cả khi "AI gây ra"

Các hình phạt được tính theo doanh thu toàn cầu của bạn, lên tới 35 triệu EUR hoặc 7% doanh thu toàn cầu đối với các vi phạm nghiêm trọng nhất. Để dễ hình dung, đó sẽ là một hình phạt đáng kể đối với một công ty công nghệ lớn.

Nhưng đây là điểm sáng: các biện pháp kiểm soát tương tự bảo vệ chống lại các cuộc tấn công AI thường đáp ứng hầu hết các yêu cầu tuân thủ.

Kế hoạch hành động của bạn bắt đầu ngay bây giờ

Sự hội tụ của AI và các cuộc tấn công chuỗi cung ứng không phải là một mối đe dọa xa vời – đó là thực tế của ngày hôm nay. Nhưng không giống như nhiều thách thức an ninh mạng, thách thức này đi kèm với một lộ trình.

Hành động ngay lập tức (Tuần này):

• Kiểm tra các dependency của bạn để tìm các biến thể typosquatting.
• Bật tính năng ký commit (commit signing) cho các kho lưu trữ quan trọng.
• Xem xét các gói được thêm vào trong 90 ngày qua.

Ngắn hạn (Tháng tới):

• Triển khai phân tích hành vi trong pipeline CI/CD của bạn.
• Triển khai bảo vệ runtime cho các ứng dụng quan trọng.
• Thiết lập "bằng chứng con người" (proof of humanity) cho những người đóng góp mới.

Dài hạn (Quý tới):

• Tích hợp các công cụ phát hiện chuyên biệt AI.
• Phát triển sổ tay ứng phó sự cố AI.
• Tuân thủ các yêu cầu quy định.

Các tổ chức thích nghi ngay bây giờ sẽ không chỉ tồn tại mà còn có lợi thế cạnh tranh. Trong khi những người khác vội vàng ứng phó với các vụ vi phạm, bạn sẽ ngăn chặn chúng.

Để có kế hoạch hành động đầy đủ và danh sách các nhà cung cấp được đề xuất, hãy tải xuống bản PDF hướng dẫn của CISO tại đây.